直击网络安全简史，现阶段提升免疫力是关键 | 产业安全观智库访谈

当下，AIGC、区块链、云计算等新兴技术发展如火如荼，网络安全的内涵与外延也随之出现许多变化，安全攻防也从早期的黑客炫技手段，演变为如今产业发展的底座。过去的20多年，网络安全行业出现了哪些新变化？安全技术的演变又将给我们带来哪些启示?我们如何应对新时代下的安全新挑战？

腾讯安全和CSDN联合打造《开谈·网络安全技术简史》圆桌论坛，由CSDN战略合作总监、开发者研究院院长闫辉主持，并邀请到腾讯杰出科学家、腾讯安全玄武实验室负责人于旸、绿盟科技集团首席合规咨询专家、资深架构师张睿、星阑科技安全专家汤青松，从网络安全技术的发展历史、现状和未来趋势，分享了各自在安全领域的实践经验，展望当下网络安全面临的挑战与机遇，并基于安全攻防驱动的特性，呼吁加强国际合作和技术交流，以提升企业数字安全免疫力，更好地应对时代的变化。

Q1：网络安全跟人性的哪些因素相关？为什么这个产业会出现这种攻防？

于旸：我觉得攻防的本质实际上是对资源的争夺。再往上一层可能就是信息差的区别。在现实生活中，很多信息差会决定胜负，在网络空间当中，当掌握了更多这种防御的知识，就可能不容易成为受害者。

张睿：我认为网络在资源属性之外，还具备资源的获取渠道这一个属性，渠道和资源本身是两个很大的差异。比如，在民营体系里面，我其实更加倾向于按照GRC框架分析。G的一方面是源于治理，偏业务层面，二是源自于风险，就是我们到底是源自于合规，就是政府和行业有什么要求？而且C的要素越来越重要，就是合规越来越重要。

Q2：网络安全的技术变迁主要包含了哪些技术？对于要从事这个行业的人来说能做哪些准备？

于旸：从事网络安全技术岗位的人，其实他原本也并不是网络安全专业的，他们可能就是计算机专业，或者学电子方向的，这个阶段大家80%的课是差不多的，剩下的20%可能自己稍加学习也可以互相转换，可能到了研究生阶段才会更术业有专攻。

此外，网络安全也是一种思维方法，大家可以把思维方法和某个行业去结合，这样就得到了某一个方向的网络安全。比如，当这种思维方法和工业控制系统相关的知识结合，就变成了工控安全；和无线通信相关的技术结合，就变成了无线安全。安全不是一个独立的东西，它一定是依附在某个基础的学科上，一定是某一方面的安全。

张睿：网络安全产业是一个特别宽口径的行业，这也是一个重要的特性。技术发展以后一定会和安全相挂钩，所以当5G发展的时候会有5G安全，当IT技术发展的时候会有IT安全，提到车联网发展的时候，会有车联网安全。未来对很多学技术的人来说，行业里面基本会有安全岗位的需求，这是产业一个宽口径的特性。

• 行业如果按照攻和防两个角度去区分的情况之下，90%的人员会落到防守这一方，所以体系怎么做、质量怎么去达成、如何驱动业务的保护、如何打造解决方案，90%的人员都在防守区域里面去做。如果大家未来想去加入网络安全行业，大概率做防守的概率很高。
• 现在从防守方来看的话，如果进一步去切分，除了行业赛道以外，可以针对行业去进行细化，也可以针对领域赛道去细化。未来如果想去探索进入网络安全行业的话，行业里面还有很多空白可以探索。

汤青松：就业里面有几个比较大的岗位需求。

• 比如渗透测试，有些类似我们以前说的软件测试的功能，还有安全测试岗位，就是在懂一些安全概念的情况下去测试这个产品有没有安全的问题。
• 另外一个是将挖掘SRC作为你的收入来源，专门挖掘漏洞，但可能没有专门的公司去培养你。还有一个岗位就是安全研究的岗位，实际上会做一些比较杂的事情。总的来说，如果从就业的角度上考虑，我觉得可以分为这几个方向，那么你要做人力开发，你就学开发知识，如果做安全测试，你就可以掌握一些安全概念，把一些安全测试和收入来源渠道做一个分类。

Q3：网络安全现阶段的特点是什么？可否具体举例关键的技术、主流的攻击，或者是防御技术？

于旸：从安全发展趋势来看的话，就是由简单到复杂，当前的网络安全攻防形式是有史以来最为复杂的。今天作为防守者面临的问题，可能跟前辈们所面临的是完全不是一个量级。

• 之前可能想的是，我把敌人挡在网络之外就可以了。今天会发现要处理的问题是敌人到你家里的情况，甚至要假设敌人已经入侵到你的电脑上，而且我暂时还不可能把他赶走，这个时候网络安全要怎么做，攻防的力度已经到这个级别。
• 另外，像我们之前做防御就是让攻击者进不来，现在可能是会拉一个纵深，比如我最好是让你进不来，但万一你要进来的话，进来之后不能造成破坏，或者说你还是偷走数据了，但我能及时知道，不要说偷走了还不知道。就是说假设已经不一样了，思路和手段也不一样，使用的工具方法产品也不一样。

技术发展到今天，网络安全和整个信息产业、整个数字世界是密切联系的，数字世界出现了什么东西，网络安全就会出现。比如最新的ChatGPT，当大模型出现之后，网络安全一定会从两个方向跟它做结合。

第一个方面是新出现的大模型能不能拿来帮我们做安全，无论是攻还是防，第二个方面是大模型相关的东西有没有安全问题。当技术进入不同的发展阶段，我相信安全在这两个方面上都能找到自己的角色和定位。

张睿：现在我们看到新技术起来以后，很多东西不但要去考量如何安全地用，还要考量用得安全，就是它既能够去催生保护方面的需要，也能够去催生攻击方面的风险点。

• 我们可以看到的一个特性是，大家越来越能够去从双方向去思考这个问题。比方说勒索病毒，它的底层使用的是加密技术，加密技术在安全的保护体系里会经常用到。
• 如果利用到攻击的角度，也能够使用相似的技术。所以我们再去思考安全的时候，未来绝对是要从双方向去看，因为技术本身不带道德属性，如果你要连接道德和法律的时候，必定要去挂接相应的场景。

汤青松：我觉得安全技术本身并没有特别大的一个突破，它应该包括现有的技术结合，打造一个立体的应用模式。我们现有的安全技术，比如防火墙，能挡住别人的入侵检测技术，别人打进来了，我们怎么去检测，以及我们的虚拟通道，VPN、身份认证、数字加密、漏洞扫描、情报共享等技术。我觉得现有的技术并没有特别大的提升，只是我们在最近几年拿这些技术来完善更多的应用场景。

Q4：杀毒软件曾一度竞争激烈，但现在感觉不太受关注。请问安全在不同的阶段总是在不停地变化，还是一直都有一条暗线？

于旸：安全行业的变化是攻防驱动的，早期的网络病毒造就了杀毒软件的状态。

• 从防守这条线来看，病毒自身也在发展，随着磁盘拷贝这种文件传递形式慢慢消失，传统的磁盘病毒就逐渐演变成了网络蠕虫，随着U盘的出现又到U盘传播。后来随着操作系统的安全性不断增加，病毒想以传统的方式去肆虐也变得越来越困难。所以，攻击者需要去思考，就是当一种容易的路被堵住的时候，他就会去想可能有没有其他路，虽然说可能更困难些。
• 另外一条线就是随着技术的发展，我们的数字世界越来越丰富，也会带来一些新的攻击场景，新的攻击路径成为可能性。每一种攻击方式的出现，以及由各种攻击方式共同构成的每一个时代网络威胁的大场景，又会推动防御方想出不同的网络安全防护方法、工具和产品以及策略。

我认为攻防双方就像我讲的阴阳鱼，这两个阴阳鱼不断地纠缠，不断地推着对方走。

张睿：安全防护一直在提CIA的三要素，即保密性，完整性，可用性。有些时候我们去打击对方的时候，可能并不是为了去获得这个信息，本身只想让他的业务下线，比方说DDoS就是想让对方下线不可用，我并没想窃取任何东西，也没想去破坏什么。有的可能就想改数据，比如我银行里面存了1000块，我现在就想把它变成1万块、1000万。还有可能我搜集这些信息没有当下用的可能性，但是未来某一天可能会起作用，所以想去破坏这个内容。CIA我们一直在提的是，在我们做安全的时候，保护的本质也是在做攻击的时候去想我到底要去攻击哪个点的问题。

除了CIA以外，大家可能比较少提其他要素整合，就是关于人的特性的整合。这里隐私是非常大的一个点，它和C和I和A很多时候并没有关系，但是我们说安全要服务于人。如果你破坏了隐私，你可能很赚钱，但你要承担道德风险和道德法律责任。引入了人的要素以后就会发现，人能不能用得好？能不能满足人类的这个需求？会不会引发隐私的道德风险或者法律风险？是现在从防护角度去看我们到底怎么样去把安全做好的问题。

单独从上位法看隐私的话，有《个人信息保护法》，但未来很多企业希望自己的产品走出海外，遍布世界各个角落，在服务所有人类群体的时候，隐私是安全的一个非常重要的要素，现在的趋势是安全和隐私未来可能是并驾齐驱的，两条路都要做起来。

汤青松：我认为安全技术并没有一个明显的路径在发展，它是依附于新技术，产生了安全技术的发展，假设没有这一个新技术，那么安全可能也不会有新技术的出现。出现了区块链，才有区块链安全，出现了AI才会有AI安全。

Q5：网络安全有没有跟其他行业不太一样的特征？

于旸：安全有一个底层逻辑就是攻防对抗，它还有一层底层逻辑本质上是成本对抗，双方争夺的本质是权力，这意味着做安全建设也不可能无上限地投入，实际上防御到底要投入多少，核心是要看他要保护的这个资产到底值多少价值，也就是说，安全措施的价值不能大于你要保护的东西的价值。

张睿：安全行业很特别，只要有新技术发展，它立马会跟进，立马会有它的存在。所以有车联网的时候会有车联网安全，有物联网的时候就有物联网的安全，供应链来了会有供应链的安全，我更加倾向于把它叫做宽口径的特性。

早期提网络安全现在依然有提主机安全和系统安全，提边界安全虽然过时了，但是防火墙依然卖得火爆，并且大家还是要去做边界安全，所以技术是不断叠加的，它只会变得越来越多，不会直接被替代或者变得很单一。所以对于单独在网络安全从业的同事，如果你在技术方向去扎根的话，不管是做保护方向，还是做攻击方向，未来只要有新的东西的话，你要疯狂地去学习，它对人员的学习能力要求非常高。

汤青松：我们软件开发行业的话可能是我开发了一个东西，我交接完就结束了，但是网络安全不一样，我可能只能保证我目前的安全，下一秒有一个新技术的突破，我没有及时跟进的话可能就被入侵进来了，就可能造成数据泄露，所以安全是实时性的问题。当问题出现的时候，安全人员可能得随时待命，然后及时处理问题，尽可能地降低损失。

「产业安全观智库访谈」

是腾讯安全依托中国产业互联网发展联盟及安全专业委员会，策划的一档聚焦于产业安全、安全生态、安全产业发展、安全与各产业融合等战略宏观维度的高端访谈栏目。

- END -